76个在CoinMarketCap前端漏油中排出的钱包
加密网络安全公司Coinspect Security表示,它能够重新创建JavaScript注入漏洞,从而通过Lottie Animation JSON文件中的利用来促进CMC Wallet Drainer攻击

CoinMarketCap网站上的安全漏洞使攻击者短暂地在主页上添加了恶意弹出窗口,导致受害者损失了数千美元。
MetAmask团队在周五晚上警告用户不要将钱包连接到CoinMarketCap的网站,因为硬币跟踪器的前端已被妥协以推动钱包排水骗局。
大约一个小时后,CoinMarketCap确认其站点的访问者在提示时不应连接其钱包。
当晚晚些时候,CMC解释说,其主页上的“涂鸦图像”中的漏洞包含一个链接,该链接通过API调用触发了恶意代码,从而为某些用户带来了意外的弹出窗口。”
加密网络安全公司Coinspect Security表示,它能够重新创建JavaScript注入漏洞,从而通过Lottie Animation JSON文件中的利用来促进CMC Wallet Drainer攻击。
来自其他公司的三名网络安全专家在周末向我确认,Coinspect对事件的评估是准确的。
网络安全企业验证实验室的创始人Trey Blalock告诉我,他能够使用Internet Archive的Wayback Machine检索CoinMarketCap的源代码的副本,以检查事件。
布拉洛克谈到CMC的网站时说:“立即引人注目的是大量使用可扩展的矢量图形(.svg)图像。” “ SVG是创建在各种显示大小上看起来很棒的性能网站的绝佳格式,但是最近的安全漏洞使攻击者可以将HTML脚本标记嵌入SVG图像中,这些svg图像中包含URL的网站中包含URL,使他们能够执行一种跨站点拼图的形式。”